DSGVO 2018 - Umsetzung eines IT Start-Ups

Leftshift OneLesezeit: 15 Minuten

Lernen Sie von einem Tech-Startup alle Schritte, die notwendig sind, um die Privatsphäre Ihrer Kunden zu schützen. Verstehen Sie zudem, wie Sie die Erwartungen Ihrer Kunden hinsichtlich der notwendigen Datenschutzmaßnahmen übertreffen können.

Autor: Priya E. AbrahamInterview: Leftshift OneIn diesem Artikel werden einige der wichtigsten Datenschutzvorschriften (DSGVO) behandelt, die Unternehmen und Organisationen bei der Verarbeitung von Daten von betroffenen Personen einhalten müssen. Die ausgewählten Hauptaufgaben sind:
  • Sicherstellung von Datenschutz durch Technik und datenschutzfreundliche Voreinstellungen
  • Gewährleistung des Schutzes personenbezogener Daten
  • Bewahrung der Rechte der betroffenen Personen – Verständnis über Rechtmäßigkeit der Verarbeitung (Einwilligung, Vertragserfüllung, berechtigtes Interesse)
  • Demonstration der Rechenschaftspflicht und Compliance
Für den Praxisbezug stellen wir die feingesponnene Herangehensweise von Leftshift One vor – einem österreichischen Technologie-Startup, das auf die Entwicklung und Implementierung von AI Produktenspezialisiert ist. Die Technologie, die unter anderem auf demGartner Hype Cycle for Emerging Technologies 2017zu finden ist, erfreut sich einer beispiellosen Beliebtheit, insbesondere bei der Kundenbindung (First Level Customer Support), sofern:
  • Anwendungsfälle monetarisiert werden können.
  • die Qualität der Spracherkennung hochwertig ist.
  • die Benutzererfahrung positiv ausfällt.
Leftshift Ones einzigartiger Ansatz bietet ein regelbasiertes Sprachmodell für die Spracherkennung, das es ermöglicht, in einem digitalen Ökosystem (On-Premise oder Private Cloud) zu operieren. Das Eindrucksvollste daran ist, dass es dem Startup gelungen ist, dies für die deutsche Sprache zu entwickeln, deren Syntax viel komplexer ist als jene der englischen.

Leftshift One

Wir setzen in erster Linie auf die linguistische Dependenzanalyse und verwenden erst im zweiten Schritt Machine Learning. Wir haben beide Konzepte verschmolzen und sind daher nicht auf Big Data angewiesen. Zusätzlich konzentrieren wir uns auf den Business Case des Klienten bzw. den geschäftsbezogenen Kontext des Use Cases. Ein digitaler Assistent aus dem Bereich Reisen beispielsweise muss nicht in der Lage sein, Pizzabestellungen zu bearbeiten.Entscheidende Vorteile entstehen hier nicht nur im Bereich des Ressourceneinsatzes undEnergieverbrauchs. Vielmehr lässt sich die Software bzw. dasSmart Digital Ecosystem G.A.I.A zur Erstellung von digitalen Assistenten auch auf der internen Systemlandschaft des Kunden, also On-Premise betreiben.Wir als Leftshift One verzichten auf den Einsatz von externen Serviceanbietern (wie Google, Microsoft, Facebook, etc.) also NLP-, NLG- oder Build-a-Bot-Serviceanbietern. Somit können wir auch im Private Cloud-Betrieb Datensicherheit garantieren. Aufgrund unserer Strategie, also die Kombination der Konzepte und unserem eigenen NLP-Service, kurz A.T.L.A.S., sind wir in der Lage, dem Kunden auch eine On-Premise Lösung anzubieten, die „by Default“ DSGVO-Ready ist.Damit erfüllen wir punktgenau Artikel 25 der DSGVO zum Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen, da Leftshift One sich nicht auf die Verwendung von Big Data verlassen wird.

Ensure data protection by design and by default – Stellen Sie Datenschutz durch Technik und datenschutzfreundliche Einstellungen sicher

Data Protection by Design and by Default sind Leitprinzipien der DSGVO. Mit anderen Worten, der Datenschutz für Einzelpersonen sollte die Standardaktion sein und sollte von Grund auf in alle organisatorischen und technologischen Prozesse integriert werden. Sie müssen nachweisen können, dass die Grundprinzipien der DSGVO eingehalten werden, dass die Rechte der Arbeitnehmerinnen und Arbeitnehmer sowie der Kundinnen und Kunden in der EU (betroffene Personen) gewährleistet sind und dass nur für den spezifischen Zweck erforderliche Daten verarbeitet werden.trifft der Verantwortliche sowohl zum Zeitpunkt der Festlegung der Mittel für die Verarbeitung als auch zum Zeitpunkt der eigentlichen Verarbeitung geeignete technische und organisatorische Maßnahmen — wie z. B. Pseudonymisierung — trifft, die dafür ausgelegt sind, die Datenschutzgrundsätze wie etwa Datenminimierung wirksam umzusetzen und die notwendigen Garantien in die Verarbeitung aufzunehmen, um den Anforderungen dieser Verordnung zu genügen und die Rechte der betroffenen Personen zu schützen.“ DSGVO, Art. 25 (1)

Wie hat es Leftshift One umgesetzt:

Wir von Leftshift One haben uns bereits vor der eigentlichen Entwicklung mit diesem Thema beschäftigt und wussten durch Marktbeobachtung / Marktanalyse, dass in diesem Bereich für den europäischen Markt eine DSGVO-konforme Lösung dringend erforderlich ist. Grundsätzlich sind die Grundsätze der DSGVO nicht neu, sie wurden nur viel zu oft außer Acht gelassen. Aus diesem Grund haben wir uns entschieden, unseren Kunden eine Lösung zur Verfügung zu stellen, welche diesen Prinzipien entspricht. Unsere Klienten sind einerseits Softwareintegratoren, welche digitale Assistenten für ihre Kunden erstellen oder andererseits Kunden, die direkt von uns einen digitalen Assistenten benötigen.Aufgrund des Machine Learning-Ansatzes, welcher eine Vielzahl von Daten (Big Data) benötigt, um ein qualitativ hochwertiges Ergebnis zu liefern, haben wir uns damit auseinandergesetzt, eine alternative Lösung zu finden. Wir dachten, es muss eine Lösung geben, die nicht unzählige Kundendaten benötigt. Daher haben wir uns für die Kombination der Konzepte entschieden. Das ermöglicht es, mitwenig Daten qualitativ hochwertige Ergebnisse sowohl für unsere Klienten als auch Kunden zu erzielen.Die Vorteile liegen klar auf der Hand – Durch den Ansatz, die Konzepte zu kombinieren und diese Technologie intelligent zu verwenden, ist diese Lösung kosten- und energieeffizient,zusätzlichleistbar sowie individuell einsetzbar.Ferner verschlüsseln wir jede Kommunikation zwischen Assistent und Kunde bzw. speichern Daten ausnahmslos verschlüsselt. Die Daten werden ausschließlich von den Algorithmen genutzt – wir selbst haben keine Kenntnisse über den Inhalt.Zusammenfassend verfolgen wir das Konzept “Data Protection by Design and Default”, da wir uns schon vor der Entwicklung unserer Softwarelösung diesem Prinzip verschrieben haben.

Provide for the Security of personal data – Sorgen Sie für die Sicherheit personenbezogener Daten

Die größte Veränderung im regulatorischen Umfeld des Datenschutzes ist wohl die erweiterte Zuständigkeit der DSGVO, da diese für alle Unternehmen gilt, die personenbezogene Daten von Personen mit Wohnsitz in der Europäischen Union verarbeiten, unabhängig davon, ob das Unternehmen innerhalb oder außerhalb der EU angesiedelt ist.Ganz besonders wichtig ist, das Konzept der personenbezogenen Daten zu verstehen. Wenn Sie eines der folgenden Elemente erfassen, speichern oder verwenden, müssen Sie sich an die Regeln halten: Name, Adresse, Lokalisierung, Online-Kennung, Gesundheitsinformationen, Einkommen oder kulturelle Informationen uvm. Zudem legt der Gesetzestext personenbezogene Daten und sensible personenbezogene Daten wie folgt fest …alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung (personenbezogene Daten, Art. 4(1)) oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann (sensible personenbezogene Daten, Art 9(1)).Die DSGVO fordert, dass Sie Aufzeichnungen darüber führen, welche Art von Daten Sie besitzen, woher sie stammen und mit wem Sie diese teilen. Das erfordert natürlich eine laufende Dokumentation.

Wie hat es Leftshift One umgesetzt:

Wie bereits erwähnt, verschlüsseln wir intern unsere Daten und haben keine Kenntnisse über den Inhalt. Lediglich der Algorithmus unseres Cognitive Language Understanding Service A.T.L.A.S. weiß über den Inhalt Bescheid. Dennoch muss eine Kategorisierung der gesammelten Daten vorgenommen und dokumentiert werden. Auch hier haben wir wieder den Ansatz Data Protection by Design and by Default gewählt. Das Cognitive Language Understanding Service A.T.L.A.S. verarbeitet den Text auch nach der Umwandlung von Speech-2-Text und kategorisiert automatisch.Aus dem Integrationscode ist ersichtlich, welche Daten verarbeitet werden bzw. welcher Kategorie diese angehören. Das heißt, wir wissen automatisiert bei jeder Konversation, welche Daten verarbeitet werden, ohne den Inhalt dabei genau zu kennen.Dies ist natürlich nur möglich, wenn man einerseits auf ein regelbasiertes Übersetzungskonzept setzt und andererserits diese Verbindung herstellt.

Guard the rights of EU customers – Bewahren Sie die Rechte der EU Bürgerinnen und Bürger

Die Datenschutz-Grundverordnung verbessert die Betroffenenrechte in der EU. Zusammenfassend enthält die DSGVO folgende Rechte für Einzelpersonen:
  • Informationspflicht
  • das Recht auf Zugang zu Datenverwendung (Informationsrecht)
  • das Recht auf Berichtigung
  • das Recht auf Löschung
  • das Recht auf Einschränkung der Verarbeitung
  • das Recht auf Datenübertragbarkeit
  • das Widerspruchsrecht und
  • das Recht, keinen automatisierten Entscheidungen einschließlich Profiling unterworfen zu sein.
Dies bedeutet, dass Ihre Kundinnen und Kunden in der EU das Recht haben, Zugang zu ihren Daten einzufordern sowie diese löschen zu lassen. Darüber hinaus müssen Sie den betroffenen Personen leichteren Zugang zu ihren personenbezogenen Daten ermöglichen und es muss in klarer und leicht verständlicher Sprache über die Verarbeitung dieser Daten informiert werden. Durch die Bereitstellung dieser Informationen erhalten ihre Kunden einen schnellen Einblick, wie Ihre Daten verwendet werden.Datenschutzverletzungen müssen innerhalb von 72 Stunden an die Aufsichtsbehörde gemeldet werden. Im Falle eines hohen Risikos für die betroffenen Personen müssen auch diese benachrichtigt werden. Für alle Daten müssen angemessene technische und organisatorische Maßnahmen verfügbar sein, um ein dem Risiko entsprechendes Sicherheitsniveau zu gewährleisten.Die Bedingungen für die Rechtmäßigkeit notwendiger Einwilligungen wurden verstärkt. Im Rahmen der Datenschutz-Grundverordnung muss das Ersuchen auf Einwilligung in verständlicher und leicht zugänglicher Form gestellt werden. Der Zweck der Datenverarbeitung muss dieser dem Einwilligungsersuchen klar und verständlich zu entnehmen sein. Die Einwilligung muss zudem in gleicher Weise widerrufen werden können, wie sie erteilt wurde. Sie ist mit strengen Anforderungen verbunden, einschließlich der Anforderung, dass sie eben jederzeit von der betroffenen Person widerrufen werden kann.

Wie hat es Leftshift One umgesetzt:

In diesem Fall müssen zwei Arten von personenbezogenen Daten unterschieden werden. Das A.T.L.A.S. Service speichert die Daten verschlüsselt und nach jeder Konversation werden die personenbezogenen Daten der Session gelöscht. Sie sind für die Antwort, also das Ergebnis des digitalen Assistenten, nicht relevant und werden auch nicht gespeichert. Streng genommen gibt es keine personenbezogenen Daten im System. Wir als Leftshift One sind überdies nicht an einer Weiterverarbeitung der Daten interessiert.Dennoch kann es der Business Case erfordern personenbezogene Daten verschlüsselt zu speichern.Zum Beispiel im Bereich Empfehlungsmarketing. In diesem Fall fragt der digitale Assistent den Enduser um Erlaubnis.Ein Beispiel: Der Kunde möchte eine Pizza bestellen. A.T.L.A.S. übersetzt lediglich die Handlungsanweisung und meldet nun dem Serviceanbieter, welcher die Bestellung der Pizza organisiert, den Wunsch des Kunden. Der Serviceanbieter selbst verfügt über die personenbezogenen Daten, um eine Bestellung auszulösen. Der Name “Herr Mustermann” samt Wohnort, Kreditkarteninformationen etc. ist für das Service Fulfillment im Ecosystem nicht von Nöten.Ist nun doch explizit erwünscht, personenbezogene Daten zu speichern, um zum Beispiel automatisiert Empfehlungen auszusprechen, werden diese erst nach Zustimmung des Endusers verschlüsselt gespeichert.Diese personenbezogenen gespeicherten Daten können jederzeit vom Enduser angefordert, korrigiertoder auch gelöscht werden. Der Aufwand, dieses zu tun, ist für uns als Verarbeiter von Daten aufgrund der Sicherheit und der Verschlüsselung um ein Vielfaches höher . Aber das ist es uns Wert, um die Datensicherheit zu garantieren.Im Bereich unserer Integratoren und Kunden, welche unser digitales Ecosystem nutzen, vertrauen wir auf einen etablierten Partner bzw. Experten im Bereich Wissensmanagement, Prozessmanagement und CRM:Atlassian Confluence (Jira), welcher bereits DSGVO-Ready ist, um die Standards einzuhalten.

Demonstrate compliance and accountability – Demonstrieren Sie Rechenschaftspflicht und Compliance

Als Unternehmer sollten Sie davon ausgehen, dass die Aufsichtsbehörden ihre Befugnisse beim Zugang zu Daten und Räumlichkeiten nutzen und ausüben. Sie sollten generell in der Lage sein, die Einhaltung der Datenschutzgrundsätze der DSGVO nachweisen zu können. Zu den Mechanismen, die bei der Bereitstellung dieses Nachweises unterstützen können, gehören die Durchführung von Datenschutz-Folgenabschätzungen und die Einhaltung von Verhaltenskodizes.Wie bereits erläutert ist in der DSGVO, Data Protection by Design and by Default eine ausdrückliche gesetzliche Anforderung. Dadurch sind Datenschutz-Folgenabschätzungen (früher als Privacy Impact Assessment oder PIAs bekannt) unter bestimmten Umständen obligatorisch durchzuführen. Eine Datenschutz-Folgenabschätzung ist in Situationen erforderlich, in denen die Datenverarbeitung höchstwahrscheinlich zu einem hohen Risiko für Einzelpersonen führen kann, z.B.:
  • wo eine neue Technologie eingesetzt wird
  • wo eine Profiling-Operation höchstwahrscheinlich erhebliche Auswirkungen auf Einzelpersonen hat oder
  • wo spezielle Datenkategorien in großem Umfang verarbeitet werden

Wie hat es Leftshift One umgesetzt:

Der HG3 Startup-Hub, mit seinen vielfältigen Experten aus den Bereichen TAX, Business Consulting, LAW uvm. ist seit Beginn an Partner der Leftshift One und unterstützt das Unternehmen auch in Fragen des Datenschutzes. Zusätzlich zu den bekannten Checklisten des Datenschutzes, welche als Nachweis dienen sollen, haben wir von Leftshift One einen weiteren Nachweis bereits im Entwicklungsprozess der Funktionalitäten implementiert. Eine Funktionalität kann in einem abgegrenzten Dokument – einer User Story – beschrieben und somit definiert werden. Eine User Story enthält nicht nur die Beschreibung der Funktionalität sondern auch Abnahmekriterien, Testfälle oder nicht-funktionale Kriterien. Wir haben für jede User Story nun auch einen Bereich für die Angabe von Datenschutzkriterien vorgesehen.Diese Kriterien werden insgesamt zweimal überprüft. Die erste Überprüfung findet im Rahmen der „Definition of Ready (DoR) Überprüfung“ bevor eine User Story umgesetzt wird statt. Hierbei prüft das Entwicklungsteam vor der Umsetzung einer Funktionalität, ob diese überhaupt datenschutzkonform umgesetzt werden kann bzw. was dazu nötig ist, um Datenschutzkonformität bei der Implementierung zu gewährleisten. Die zweite Überprüfung erfolgt im Rahmen der „Definition of Done (DoD) Überprüfung“,nachdem die Funktionalität bereits umgesetzt wurde. Hier wird sichergestellt, dass die Funktion tatsächlich datenschutzkonform umgesetzt wurde.Jede Funktionalität ist durch dieses Vorgehen nun nicht nur auf Datenschutzkonformitätüberprüft und umgesetzt sondern auch sauber dokumentiert, sodass jederzeit auch auf Code-Ebene ein Nachweis erbracht werden kann.

Die Erfolgsfaktoren auf einen Blick

Das Startup nutzt erfolgreich einen ganzheitlichen Ansatz zur Schaffung einer Kultur der Privatheit, die weit über die Compliance-Vorgaben, die viele Unternehmen verfolgen, hinausgeht. Sie
  • sind integraler Bestandteil eines Netzwerks von Spezialisten, das für die Schaffung und Verankerung einer Kultur der Privatheit unerlässlich ist
  • entwickelten eine innovative, DSGVO-konforme Technologie und wenden jenseits der agilen Softwareentwicklung kontinuierliche Feedbackschleifen über die gesamte Wertschöpfungskette an
  • haben freiwillig einen Datenschutzbeauftragten ernannt, der sie in Bezug auf den Datenschutz nach außen vertritt
Leftshift One hat die goldene Gelegenheit genutzt, um durch eine erhöhte Privatsphäre, werthaltige, auf Vertrauen basierende Beziehungen mit ihren Kunden bereits während der herausfordernden Growth-Phase aufzubauen.Weiterführende Linkshttps://ico.org.uk/for-organisations/guide-to-data-protection/privacy-by-design/https://www.cyberconnecting.net/blog/the-gdpr-a-blessing-in-disguise
#startup#ai#bigdata#privacy

Ähnliche Artikel

INNOVATION

Speech2Text - Outsourcing vs Custom-Model

INNOVATION

Language Understanding – Machine Learning oder Regelbasierend?

INNOVATION

Was ist Sentimentanalyse und warum ist sie wichtig?

Das könnte Sie auch interessieren: